اعتبارنامه و کلیدهای API بیش از ۳۰۰ هزار نمونه Prometheus در معرض خطر هستند

0
28
اعتبارنامه و کلیدهای API بیش از ۳۰۰ هزار نمونه Prometheus در معرض خطر هستند

پژوهشگران امنیت سایبری هشدار داده‌اند که هزاران سرور میزبان ابزار مانیتورینگ Prometheus در معرض خطر نشت اطلاعات و همچنین حملات اختلال سرویس (DoS) و اجرای کد از راه دور (RCE) قرار دارند.

یاکیر کدکودا و اساف مورگ، پژوهشگران امنیتی شرکت Aqua، در گزارشی که با سایت The Hacker News به اشتراک گذاشته شده‌اند:
«سرورهای Prometheus یا اکسپرترهای آن، که اغلب فاقد احراز هویت مناسب هستند، به مهاجمان اجازه می‌دهند اطلاعات حساسی مانند اعتبارنامه‌ها و کلیدهای API را به‌ راحتی جمع‌آوری کنند.»

این شرکت امنیت ابری همچنین اشاره کرد که افشای نقاط پایانی “/debug/pprof”، که برای بررسی مصرف حافظه پشته، استفاده CPU و موارد دیگر به کار می‌رود، می‌تواند به‌عنوان بردار حمله برای اجرای حملات DoS عمل کرده و سرورها را از کار بیندازد.

برآوردها نشان می‌دهد که حدود ۲۹۶,۰۰۰ نمونه از Prometheus Node Exporter و ۴۰,۳۰۰ سرور Prometheus به‌صورت عمومی از طریق اینترنت قابل دسترسی هستند و این موضوع سطح حملات بزرگی ایجاد می‌کند که می‌تواند داده‌ها و خدمات را در معرض خطر قرار دهد.

این موضوع که اطلاعات حساس مانند اعتبارنامه‌ها، رمزهای عبور، توکن‌های احراز هویت و کلیدهای API می‌تواند از طریق سرورهای Prometheus نشت پیدا کند، پیش‌تر توسط JFrog در سال ۲۰۲۱ و Sysdig در سال ۲۰۲۲ مستند شده بود.

پژوهشگران گفتند: «سرورهای Prometheus بدون احراز هویت، امکان پرس‌وجوی مستقیم داده‌های داخلی را فراهم می‌کنند و این موضوع می‌تواند اسراری را افشا کند که مهاجمان می‌توانند برای دستیابی اولیه به سازمان‌های مختلف از آنها سوءاستفاده کنند.»

علاوه بر این، مشخص شده است که نقطه پایانی “/metrics” نه تنها می‌تواند نقاط پایانی API داخلی را افشا کند، بلکه اطلاعاتی در مورد زیر دامنه‌ها، رجیستری‌های Docker و ایمیج‌ها نیز ارائه می‌دهد؛ داده‌هایی ارزشمند برای مهاجمانی که در حال شناسایی و تلاش برای گسترش دسترسی خود به شبکه هستند.

این همه ماجرا نیست. یک مهاجم می‌تواند درخواست‌های همزمان متعددی به end point‌هایی مانند “/debug/pprof/heap” ارسال کند تا وظایف پروفایل‌گیری حافظه استک که نیازمند مصرف بالای CPU و حافظه است را فعال کرده و سرورها را تحت فشار قرار داده و باعث از کار افتادن آنها شود.

Aqua همچنین به یک تهدید زنجیره تأمین اشاره کرد که شامل استفاده از تکنیک RepoJacking برای سوءاستفاده از نام مخازن حذف‌شده یا تغییر نام‌یافته در GitHub است، به‌طوری که مهاجمان بتوانند اکسپرترهای مخرب ثالث را معرفی کنند.

این شرکت به‌طور خاص دریافت که هشت اکسپرتر که در مستندات رسمی Prometheus فهرست شده‌اند، به RepoJacking آسیب‌پذیر هستند و به مهاجم اجازه می‌دهند اکسپرتری با همان نام ایجاد کرده و نسخه‌ای مخرب را میزبانی کنند. این مشکلات از سپتامبر ۲۰۲۴ توسط تیم امنیتی Prometheus رفع شده است.

پژوهشگران گفتند: «کاربران ناآگاه که مستندات را دنبال می‌کنند، ممکن است ناخواسته این اکسپرتر مخرب را کلون کرده و اجرا کنند و این موضوع منجر به اجرای کد از راه دور در سیستم‌های آنها می‌شود.»

سازمان‌ها توصیه می‌شوند که با استفاده از روش‌های احراز هویت مناسب، سرورهای Prometheus و اکسپرترهای آن را ایمن کنند، دسترسی عمومی را محدود کنند، نقاط پایانی “/debug/pprof” را برای هرگونه فعالیت غیرعادی نظارت کنند و اقداماتی برای جلوگیری از حملات RepoJacking انجام دهند.

منبع : https://thehackernews.com/2024/12/296000-prometheus-instances-exposed.html

مقاله قبلینقص افزونه Hunk Companion وردپرس برای نصب افزونه‌های آسیب‌پذیر مورد سوءاستفاده قرار گرفت

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.